Os servidores Linux são alvo de uma campanha contínua que entrega um malware furtivo denominado perfeito com o objetivo principal de executar um minerador de criptomoedas e um software program de proxyjacking.
“Perfctl é particularmente evasivo e persistente, empregando várias técnicas sofisticadas”, disseram os pesquisadores de segurança Aqua Assaf Morag e Idan Revivo em um relatório compartilhado com o The Hacker Information.
“Quando um novo usuário faz login no servidor, ele interrompe imediatamente todas as atividades 'ruidosas', permanecendo inativos até que o servidor fique ocioso novamente. Após a execução, ele exclui seu binário e continua a ser executado silenciosamente em segundo plano como um serviço.”
É importante notar que alguns aspectos da campanha foram divulgados no mês passado pela Cado Safety, que detalhou uma campanha que visa instâncias Selenium Grid expostas à Web com software program de mineração de criptomoedas e proxyjacking.
Especificamente, descobriu-se que o malware perfctl explora uma falha de segurança no Polkit (CVE-2021-4043, também conhecido como PwnKit) para aumentar os privilégios de root e descartar um minerador chamado perfcc.
A razão por trás do nome “perfctl” parece ser um esforço deliberado para evitar a detecção e se misturar a processos legítimos do sistema, já que “perf” se refere a uma ferramenta de monitoramento de desempenho do Linux e “ctl” significa controle em várias ferramentas de linha de comando, como systemctl, timedatectl e coelhomqctl.
A cadeia de ataque, conforme observada pela empresa de segurança em nuvem contra seus servidores honeypot, envolve a violação de servidores Linux, explorando uma instância vulnerável do Apache RocketMQ para entregar uma carga chamada “httpd”.
Uma vez executado, ele se copia para um novo native no diretório “/tmp”, executa o novo binário, encerra o processo unique e exclui o binário inicial na tentativa de cobrir seus rastros.
Além de se copiar para outros locais e atribuir nomes aparentemente inócuos, o malware é projetado para lançar um rootkit para evasão de defesa e carga útil do minerador. Alguns casos também envolvem a recuperação e execução de software program de proxyjacking de um servidor remoto.
Para mitigar o risco representado pelo perfctl, é recomendado manter os sistemas e todos os softwares atualizados, restringir a execução de arquivos, desabilitar serviços não utilizados, impor a segmentação de rede e implementar o controle de acesso baseado em função (RBAC) para limitar o acesso a arquivos críticos. .
“Para detectar malware perfctl, você procura picos incomuns no uso da CPU ou lentidão do sistema se o rootkit tiver sido implantado em seu servidor”, disseram os pesquisadores. “Isso pode indicar atividades de mineração de criptografia, especialmente durante períodos de inatividade.”